Page 56 - bilgem-teknoloji-dergisi-12
P. 56
Siber Güvenlik BILGEM
TEKNOLOJI
Sistem ve Kütüphane Çağrı Verileri Kerim Can Kalıpcıoğlu – Araştırmacı / BİLGEM SGE
ile Zararlı Davranış Tespiti ünümüz bilgisayar sistemleri, gelişen he- Günümüzde özellikle finans,
saplama, bilgi işleme ve problem çözme
Gkabiliyetleriyle birçok alanda yaygın olarak doğal dil işleme ve sinyal işleme
kullanılmaktadır. Bu işlemler gerçekleştirilirken iş- alanlarında geliştirilen modeller ile
İlk olarak 1990’lı yıllarda UNIX üzerinde çalışan işlemlerin modellenmesi lenen verilerin güvenliği ise bilgisayar sistemlerinin
ve oluşturulan istatistiksel model üzerindeki sapmalar vasıtasıyla zararlı güvenliğinden geçmektedir. Veri güvenliğinin sağ- ardışık verilerin modellenmesinde
davranışların tespit edilmesi üzerine çalışmalar yapılmıştır. lanması amacıyla, özellikle kurumsal sistemlerde önemli gelişmeler sağlanmıştır.
kullanılmak üzere, yazılım ve donanım ürünleri ge-
liştirilmiştir. Farklı yaklaşımlar kullanarak bilgisa-
yar sistemlerinin güvenliğini sağlamaya çalışan lı bir yönü bulunmaktadır. Bu da zararlı davranışın
bu güvenlik ürünleri gelişen bilgisayar teknolojisi- kaynağının zararlı yazılım veya bilgisayarın başın-
ne rağmen uzun süredir benzer yöntemler kullan- daki bir kişi olup olmamasının bu yaklaşım açısın-
maktadır. dan önem arz etmemesidir. Çalışmalara konu olan
“zararlı” davranışları tespit etmek ise çoğu zaman
Bilgisayar teknolojisinin gelişmesi ile birlikte bil- karmaşık örüntülerin belirlenmesine dayanmak-
gisayarlar insanlara benzer şekilde örüntüleri ta- tadır. Örneğin Linux sistemlerindeki /etc/shadow
nıma yeteneğine sahip olmuşlardır. Çoğunlukla ve /etc/passwd dosyalarını ele alalım. Bu dosya-
yapay zekâ olarak adlandırılan bu örüntü tanıma lar kullanıcı bilgilerinin saklandığı dosyalardır. Peki
yöntemleri sayesinde insan dilinin bilgisayar ta- bu dosyalara erişim bilgisayar sistemine bir saldırı
rafından yorumlanması ve görüntülerden objelerin mıdır? Halihazırda sshd(8) ve passwd(1) gibi birçok
tespit edilmesi gibi işler gerçekleştirilebilmektedir. program bu dosyalara erişim ihtiyacı duymaktadır.
Yapay zekâ tekniklerini kullanan sistemler bilgisa- Kullanıcıların doğrulanması, grupların belirlenmesi
yar güvenliği araştırmalarında da kabul görmüştür. ve kullanıcı bilgilerinin elde edilmesi gibi masum
Bu araştırmalara konu olan başlıklardan birisi de işlemler için de kullanılan bu dosyalara erişimin
sistem çağrıları ve kütüphane çağrıları kullanılarak saldırı olarak nitelendirilmesi olanaklı değildir. Bu
yapılan zararlı davranış tespitidir. durumda şüpheli olayların değerlendirilmesi için
aşağıdaki iki yaklaşımdan biri seçilebilir.
Bu kapsamda ilk olarak 1990’lı yıllarda UNIX üze- Bütün olayları saldırı olarak değerlendirerek du-
rinde çalışan işlemlerin modellenmesi ve oluşturu- rumu insanlara sevk etmek
lan istatistiksel model üzerindeki sapmalar vası- Kayıtları ilişkilendirmek için kurallar belirlemek
tasıyla zararlı davranışların tespit edilmesi üzerine ve veri içerisinden çıkarım yapmaya çalışmak
çalışmalar yapılmıştır. 2000 yılına kadar yapılan
çalışmalar, çoğunlukla işlemlerin modellenmesin-
de sistem çağrı verisinin kullanımının etkinliği ve
bilgisayar güvenlik yaklaşımlarının felsefesi üze-
rine yapılmıştır. Sistem çağrı verisinin modelleme
için yeterli ve verimli olup olmadığının araştırılma-
sının yanında bu verinin modelleme için nasıl kul-
lanılacağı da cevap aranan önemli bir problemdir.
Günümüzde ise özellikle finans, doğal dil işleme
ve sinyal işleme alanlarında geliştirilen modeller
ile ardışık verilerin modellenmesi için önemli ge-
lişmeler sağlanmıştır. Bu yöntemler benzer özellik
gösteren sistem ve kütüphane çağrılarına da uygu-
lanmaktadır.
Zararlı davranış tespiti
Bilgisayar güvenliği çalışmalarının başlangıcından
beri zararlı davranış tespiti problemi üzerine araş-
tırmalar yürütülmektedir. Bilgisayar sistemlerine
karşı yapılan saldırıları zararlı davranışın kaynağı
olarak kabul etmenin diğer yöntemlere göre fayda-
54 55